Arbeta med säkerhetsprinciperWorking with security policies

Den här artikeln förklarar hur du konfigurerar säkerhets principer och hur du visar dem i Security Center.This article explains how security policies are configured, and how to view them in Security Center. Azure Security Center tilldelar automatiskt de inbyggda säkerhets principerna för varje prenumeration som har publicerats.Azure Security Center automatically assigns its built-in security policies on each subscription that is onboarded. Du kan konfigurera dem i Azure policy, vilket innebär att du också kan ange principer för hanterings grupper och över flera prenumerationer.You can configure them in Azure Policy, which also enables you to set policies across Management groups and across multiple subscriptions.

Instruktioner för hur du anger principer med hjälp av PowerShell finns i snabb start: Skapa en princip tilldelning för att identifiera icke-kompatibla resurser med hjälp avAzure PowerShell-modulen.For instructions on how to set policies using PowerShell, see Quickstart: Create a policy assignment to identify non-compliant resources using the Azure PowerShell module.

Anteckning

Security Center börjat integreras med Azure Policy.Security Center started its integration with Azure Policy. Befintliga kunder migreras automatiskt till det nya inbyggda initiativet i Azure Policy, i stället för de tidigare säkerhets principerna i Security Center.Existing customers will be automatically migrated to the new built-in initiative in Azure Policy, instead of the previous security policies in Security Center. Den här ändringen påverkar inte dina resurser eller din miljö, förutom förekomsten av det nya initiativet i Azure Policy.This change will not affect your resources or environment except the presence of the new initiative in Azure Policy.

Vad är säkerhetsprinciper?What are security policies?

En säkerhetsprincip definierar den önskade konfigurationen för arbetsbelastningarna och hjälper till att säkerställa efterlevnaden av företagets eller bestämmelsemässiga säkerhetskrav.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. I Azure Policy kan du definiera principer för dina Azure-prenumerationer och skräddarsy dem till din typ av arbets belastning eller känsligheten för dina data.In Azure Policy, you can define policies for your Azure subscriptions and tailor them to your type of workload or the sensitivity of your data. Till exempel kan program som använder reglerade data, till exempel personliga data eller kund data, kräva en högre säkerhets nivå än andra arbets belastningar.For example, applications that use regulated data, such as personal data or customer data, might require a higher level of security than other workloads. Om du vill ange en princip över prenumerationer eller på hanterings grupper anger du dem i Azure policy.To set a policy across subscriptions or on Management groups, set them in Azure Policy.

Dina säkerhets principer styr de säkerhets rekommendationer du får i Azure Security Center.Your security policies drive the security recommendations you get in Azure Security Center. Du kan övervaka efterlevnaden med dem för att hjälpa dig att identifiera potentiella sårbarheter och minimera hot.You can monitor compliance with them to help you identify potential vulnerabilities and mitigate threats. Mer information om hur du avgör vilket alternativ som passar dig bäst finns i listan över inbyggda säkerhets principer.For more information about how to determine the option that is appropriate for you, see the list of built-in security policies.

När du aktiverar Security Center avspeglas säkerhets principen som är inbyggd i Security Center Azure Policy som ett inbyggt initiativ under kategorin Security Center.When you enable Security Center, the security policy built-in to Security Center is reflected in Azure Policy as a built-in initiative under the category Security Center. Det inbyggda initiativet tilldelas automatiskt till alla Security Center-registrerade prenumerationer (på kostnadsfri nivå eller standardnivå).The built-in initiative is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). Det inbyggda initiativet innehåller endast granskningsprinciper.The built-in initiative contains only Audit policies.

HanteringsgrupperManagement groups

Om din organisation har många prenumerationer kan det behövas ett effektivt sätt att hantera åtkomst, principer och efterlevnad för prenumerationerna.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Med Azures hanteringsgrupper får du en hanteringsnivå över prenumerationsnivån.Azure Management Groups provides a level of scope above subscriptions. Du kan ordna prenumerationerna i containrar som kallas hanteringsgrupper och tillämpa styrningsprinciper på hanteringsgrupperna.You organize subscriptions into containers called "management groups" and apply your governance policies to the management groups. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de principer som tillämpas på hanteringsgruppen.All subscriptions within a management group automatically inherit the policies applied to the management group. Varje katalog tilldelas en hanteringsgrupp på översta nivån som kallas rothanteringsgruppen.Each directory is given a single top-level management group called the "root" management group. Rothanteringsgruppen är inbyggd i hierarkin så att alla hanteringsgrupper och prenumerationer är dess underordnade element.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Med hjälp av rothanteringsgruppen kan globala principer och RBAC-tilldelningar tillämpas på katalognivå.This root management group allows for global policies and RBAC assignments to be applied at the directory level. Om du vill konfigurera hanterings grupper som ska användas med Azure Security Center följer du anvisningarna i få insyn i hela klienten för Azure Security Center.To set up management groups for use with Azure Security Center, follow the instructions in Gain tenant-wide visibility for Azure Security Center.

Anteckning

Det är viktigt att du är införstådd med hierarkin för hanteringsgrupper och prenumerationer.It’s important that you understand the hierarchy of management groups and subscriptions. Du kan läsa mer om hanteringsgrupper, rothantering och hanteringsgruppåtkomst i artikeln om att organisera dina resurser med Azures hanteringsgrupper.See Organize your resources with Azure Management Groups to learn more about management groups, root management, and management group access.

Hur fungerar säkerhetsprinciper?How security policies work

Security Center skapar automatiskt en standardsäkerhetsprincip för var och en av dina Azure-prenumerationer.Security Center automatically creates a default security policy for each of your Azure subscriptions. Du kan redigera principerna i Azure Policy om du vill göra följande:You can edit the policies in Azure Policy to do the following things:

  • Skapa nya principdefinitioner.Create new policy definitions.
  • Tilldela principer över hanteringsgrupper och prenumerationer som motsvarar en hel organisation eller affärsenhet inom organisationen.Assign policies across management groups and subscriptions, which can represent an entire organization or a business unit within the organization.
  • Övervaka principefterlevnad.Monitor policy compliance.

Om du vill ha mer information om Azure Policy kan du läsa Create and manage policies to enforce compliance (Skapa och hantera principer för att genomdriva efterlevnad).For more information about Azure Policy, see Create and manage policies to enforce compliance.

En Azure-princip består av följande komponenter:An Azure policy consists of the following components:

  • En princip är en regel.A policy is a rule.
  • Ett initiativ är en samling principer.An initiative is a collection of policies.
  • En tilldelning är programmet för ett initiativ eller en princip för en specifik omfattning (hanterings grupp, prenumeration eller resurs grupp).An assignment is the application of an initiative or a policy to a specific scope (management group, subscription, or resource group).

Visa säkerhetsprinciperView security policies

Visa dina säkerhetsprinciper i Security Center:To view your security policies in Security Center:

  1. I instrument panelen Security Center väljer du säkerhets princip.In the Security Center dashboard, select Security policy.

    Fönstret för principhantering

    På skärmen princip hantering kan du se antalet hanterings grupper, prenumerationer och arbets ytor samt hanterings gruppens struktur.In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

    Anteckning

    Security Center instrument panelen kan visa ett högre antal prenumerationer under prenumerations täckningen än antalet prenumerationer som visas under princip hantering.The Security Center dashboard may show a higher number of subscriptions under Subscription coverage than the number of subscriptions shown under Policy management. Prenumerationstäckningen visar antalet prenumerationer av typen Standard, Kostnadsfri och Omfattas inte.Subscription coverage shows the number of Standard, Free, and “not covered” subscriptions. Prenumerationerna "ej belagda" har inte Security Center aktive rad och visas inte under princip hantering.The “not covered” subscriptions do not have Security Center enabled and are not displayed under Policy management.

  2. Välj den prenumeration eller hanterings grupp vars principer du vill visa.Select the subscription or management group whose policies you want to view.

    • Skärmen säkerhets princip visar den åtgärd som vidtas av de principer som har tilldelats den prenumeration eller hanterings grupp du valt.The Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.
    • Använd de länkar som finns högst upp för att öppna varje princip tilldelning som gäller för prenumerationen eller hanterings gruppen.At the top, use the links provided to open each policy assignment that applies on the subscription or management group. Du kan använda länkarna för att komma åt tilldelningen och redigera eller inaktivera principen.You can use the links to access the assignment and edit or disable the policy. Om du till exempel ser att en viss princip tilldelning på ett effektivt sätt nekar Endpoint Protection kan du använda länken för att komma åt principen och redigera eller inaktivera den.For example, if you see that a particular policy assignment is effectively denying endpoint protection, you can use the link to access the policy and edit or disable it.
    • I listan över principer kan du se det effektiva tillämpnings programmet för principen i din prenumeration eller hanterings grupp.In the list of policies, you can see the effective application of the policy on your subscription or management group. Det innebär att inställningarna för varje princip som gäller för omfånget beaktas och du får det ackumulerade resultatet av vilken åtgärd som utförs av principen.This means that the settings of each policy that apply to the scope are taken into consideration and you are provided with the cumulative outcome of what action is taken by the policy. Om t. ex. principen är inaktive rad i en tilldelning, men i en annan den är inställd på AuditIfNotExist, tillämpas den kumulativa påverkan AuditIfNotExist.For example, if in one assignment the policy is disabled, but in another it is set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. Den mer aktiva effekter har alltid företräde.The more active effect always takes precedence.
    • Policys-effekterna kan vara: Lägg till, granska, AuditIfNotExists, neka, DeployIfNotExists, inaktive rad.The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Mer information om hur effekter tillämpas finns i Förstå princip effekter.For more information on how effects are applied, see Understand Policy effects.

    princip skärm

Anteckning

När du visar tilldelade principer kan du se flera tilldelningar och du kan se hur varje tilldelning har kon figurer ATS på egen hand.When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

Redigera säkerhetsprinciperEdit security policies

Du kan redigera standardsäkerhetsprincipen för var och en av dina Azure-prenumerationer och hanteringsgrupper i Azure Policy.You can edit the default security policy for each of your Azure subscriptions and management groups in Azure Policy. Om du vill ändra en säkerhets princip måste du vara ägare eller säkerhets administratör för prenumerationen eller den som innehåller hanterings gruppen.To modify a security policy, you must be an owner, or security administrator, of the subscription or the containing management group.

Instruktioner för hur du redigerar en säkerhets princip i Azure Policy finns i och skapa och hantera principer för att genomdriva efterlevnad.For instructions on how to edit a security policy in Azure Policy, see and Create and manage policies to enforce compliance.

Du kan redigera säkerhets principer via Azure Policy-portalen via REST API eller med hjälp av Windows PowerShell.You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell. I följande exempel finns anvisningar för hur du redigerar med REST API.The following example provides instructions for editing using REST API.

Inaktivera säkerhets principerDisable security policies

Om standard säkerhets principen genererar en rekommendation som inte är relevant för din miljö kan du stoppa den genom att inaktivera den princip definition som skickar rekommendationen.If the default security policy is generating a recommendation that is not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. Mer information om rekommendationer finns i hantera säkerhets rekommendationer.For further information about recommendations, see Managing security recommendations.

  1. I Security Center går du till avsnittet princip & efterlevnad och klickar på säkerhets princip.In the Security Center, from the Policy & Compliance section, click Security policy.

    princip hantering

  2. Klicka på den prenumeration eller hanterings grupp som du vill inaktivera rekommendationen för.Click the subscription or management group for which you want to disable the recommendation.

    Anteckning

    Kom ihåg att en hanterings grupp tillämpar sina principer på sina prenumerationer.Remember that a management group applies its policies to its subscriptions. Om du inaktiverar en prenumerations princip och prenumerationen tillhör en hanterings grupp som fortfarande använder samma princip, kommer du att fortsätta att ta emot princip rekommendationerna.Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. Principen kommer fortfarande att tillämpas från hanterings nivån och rekommendationerna kommer fortfarande att genereras.The policy will still be applied from the management level and the recommendations will still be generated.

  3. Klicka på den tilldelade principen.Click the assigned policy.

    Inaktivera princip

  4. I avsnittet parametrar söker du efter principen som anropar rekommendationen som du vill inaktivera. Välj inaktive rad i list rutan.In the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    Inaktivera princip

  5. Klicka på Spara.Click Save.

    Anteckning

    Det kan ta upp till 12 timmar innan ändringar av principen inaktive ras.The disable policy changes can take up to 12 hours to take effect.

Konfigurera en säkerhets princip med hjälp av REST APIConfigure a security policy using the REST API

Som en del av den interna integreringen med Azure Policy kan du Azure Security Center dra nytta av Azure Policy REST API för att skapa princip tilldelningar.As part of the native integration with Azure Policy, Azure Security Center enables you to take advantage Azure Policy’s REST API to create policy assignments. Följande anvisningar beskriver hur du skapar princip tilldelningar, samt anpassningar av befintliga tilldelningar.The following instructions walk you through creation of policy assignments, as well as customization of existing assignments.

Viktiga begrepp i Azure Policy:Important concepts in Azure Policy:

  • En princip definition är en regelA policy definition is a rule

  • Ett initiativ är en samling princip definitioner (regler)An initiative is a collection of policy definitions (rules)

  • En tilldelning är ett program för ett initiativ eller en princip för en specifik omfattning (hanterings grupp, prenumeration osv.)An assignment is an application of an initiative or a policy to a specific scope (management group, subscription, etc.)

Security Center har ett inbyggt initiativ som innehåller alla säkerhets principer.Security Center has a built-in initiative that includes all of its security policies. För att kunna utvärdera Security Centers principer på dina Azure-resurser, bör du skapa en tilldelning i hanterings gruppen eller prenumerationen som du vill utvärdera.In order to assess Security Center’s policies on your Azure resources, you should create an assignment on the management group, or subscription you want to assess.

Det inbyggda initiativet har alla Security Centers principer som är aktiverade som standard.The built-in initiative has all of Security Center’s policies enabled by default. Du kan välja att inaktivera vissa principer från det inbyggda initiativet, till exempel om du vill använda alla Security Centers principer utom brand vägg för webbaserade program, genom att ändra värdet för principens gällande parameter till inaktive rad.You can choose to disable certain policies from the built-in initiative, for example you can apply all of Security Center’s policies except web application firewall, by changing the value of the policy’s effect parameter to Disabled.

API-exempelAPI examples

Ersätt följande variabler i följande exempel:In the following examples, replace these variables:

  • {scope} ange namnet på hanterings gruppen eller prenumerationen som du tillämpar principen på.{scope} enter the name of the management group or subscription you are applying the policy to.
  • {policyAssignmentName} ange namnet på den relevanta princip tilldelningen.{policyAssignmentName} enter the name of the relevant policy assignment.
  • {Name} ange ditt namn eller namnet på administratören som godkände princip ändringen.{name} enter your name, or the name of the administrator who approved the policy change.

Det här exemplet visar hur du tilldelar det inbyggda Security Center initiativ för en prenumeration eller hanterings gruppThis example shows you how to assign the built-in Security Center initiative on a subscription or management group

   PUT  
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Azure Security Center", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{}, 

   } 

   } 

Det här exemplet visar hur du tilldelar det inbyggda Security Center initiativ för en prenumeration, med följande principer inaktiverade:This example shows you how to assign the built-in Security Center initiative on a subscription, with the following policies disabled:

  • System uppdateringar ("systemUpdatesMonitoringEffect")System updates (“systemUpdatesMonitoringEffect”)

  • Säkerhetskonfigurationer ("systemConfigurationsMonitoringEffect")Security configurations ("systemConfigurationsMonitoringEffect")

  • Endpoint Protection ("endpointProtectionMonitoringEffect")Endpoint protection ("endpointProtectionMonitoringEffect")

   PUT https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 
   
   Request Body (JSON) 
   
   { 
   
     "properties":{ 
   
   "displayName":"Enable Monitoring in Azure Security Center", 
   
   "metadata":{ 
   
   "assignedBy":"{Name}" 
   
   }, 
   
   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 
   
   "parameters":{ 
   
   "systemUpdatesMonitoringEffect":{"value":"Disabled"}, 
   
   "systemConfigurationsMonitoringEffect":{"value":"Disabled"}, 
   
   "endpointProtectionMonitoringEffect":{"value":"Disabled"}, 
   
   }, 
   
    } 
   
   } 

Det här exemplet visar hur du tar bort en tilldelning:This example shows you how to remove an assignment:

   DELETE   
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

Princip namn referensPolicy names reference

Princip namn i Security CenterPolicy name in Security Center Princip namn som visas i Azure PolicyPolicy name displayed in Azure Policy Parameter namn för princip påverkanPolicy effect parameter name
SQL-krypteringSQL Encryption Övervaka okrypterad SQL Database i Azure Security CenterMonitor unencrypted SQL database in Azure Security Center sqlEncryptionMonitoringEffectsqlEncryptionMonitoringEffect
SQL-granskningSQL Auditing Övervaka en SQL-databas som inte har granskats i Azure Security CenterMonitor unaudited SQL database in Azure Security Center sqlAuditingMonitoringEffectsqlAuditingMonitoringEffect
SystemuppdateringarSystem updates Övervaka system uppdateringar som saknas i Azure Security CenterMonitor missing system updates in Azure Security Center systemUpdatesMonitoringEffectsystemUpdatesMonitoringEffect
LagringskrypteringStorage encryption Granska saknad BLOB-kryptering för lagrings kontonAudit missing blob encryption for storage accounts storageEncryptionMonitoringEffectstorageEncryptionMonitoringEffect
Åtkomst till JIT-nätverkJIT Network access Övervaka möjliga JIT-åtkomst (Network just in Time) i Azure Security CenterMonitor possible network Just In Time (JIT) access in Azure Security Center jitNetworkAccessMonitoringEffectjitNetworkAccessMonitoringEffect
Anpassningsbara programkontrollerAdaptive application controls Övervaka möjlig app-vit listning i Azure Security CenterMonitor possible app Whitelisting in Azure Security Center adaptiveApplicationControlsMonitoringEffectadaptiveApplicationControlsMonitoringEffect
NätverkssäkerhetsgrupperNetwork security groups Övervaka tillåtad nätverks åtkomst i Azure Security CenterMonitor permissive network access in Azure Security Center networkSecurityGroupsMonitoringEffectnetworkSecurityGroupsMonitoringEffect
SäkerhetskonfigurationerSecurity configurations Övervaka OS-sårbarheter i Azure Security CenterMonitor OS vulnerabilities in Azure Security Center systemConfigurationsMonitoringEffectsystemConfigurationsMonitoringEffect
SlutpunktsskyddEndpoint protection Övervaka saknade Endpoint Protection i Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center endpointProtectionMonitoringEffectendpointProtectionMonitoringEffect
DiskkrypteringDisk encryption Övervaka okrypterade VM-diskar i Azure Security CenterMonitor unencrypted VM Disks in Azure Security Center diskEncryptionMonitoringEffectdiskEncryptionMonitoringEffect
SårbarhetsbedömningVulnerability assessment Övervaka säkerhets risker i virtuella datorer i Azure Security CenterMonitor VM Vulnerabilities in Azure Security Center vulnerabilityAssessmentMonitoringEffectvulnerabilityAssessmentMonitoringEffect
Brandvägg för webbaserade programWeb application firewall Övervaka oskyddat webb program i Azure Security CenterMonitor unprotected web application in Azure Security Center webApplicationFirewallMonitoringEffectwebApplicationFirewallMonitoringEffect
Nästa generations brandväggNext generation firewall Övervaka oskyddade nätverks slut punkter i Azure Security CenterMonitor unprotected network endpoints in Azure Security Center

Vem kan redigera säkerhets principer?Who can edit security policies?

Security Center använder rollbaserad Access Control (RBAC), som innehåller inbyggda roller som kan tilldelas användare, grupper och tjänster i Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. När användarna öppnar Security Center ser de bara information som är relaterad till de resurser som de har åtkomst till.When users open Security Center, they see only information that's related to resources they have access to. Det innebär att användarna tilldelas rollen som ägare, deltagare eller läsare till den prenumeration eller resurs grupp som en resurs tillhör.Which means that users are assigned the role of owner, contributor, or reader to the subscription or resource group that a resource belongs to. Förutom dessa roller finns två specifika roller i Security Center:In addition to these roles, there are two specific Security Center roles:

  • Säkerhets läsare: Ha behörighet att Security Center, som innehåller rekommendationer, aviseringar, principer och hälsa, men som inte kan göra ändringar.Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • Säkerhets administratör: Ha samma visnings rättigheter som säkerhets läsaren, och de kan också uppdatera säkerhets principen och stänga rekommendationer och aviseringar.Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

Nästa stegNext steps

I den här artikeln har du lärt dig hur du redigerar säkerhets principer i Azure Policy.In this article, you learned how to edit security policies in Azure Policy. I följande artiklar kan du lära dig mer om Security Center:To learn more about Security Center, see the following articles:

Mer information om Azure Policy finns i Vad är Azure Policy?To learn more about Azure Policy, see What is Azure Policy?